ISO 27001 נספח A 8.23: כיצד סינון אינטרנט מפחית סיכוני סייבר
קיים סיכון להתקפות תוכנות זדוניות על רשתות ומערכות מידע ארגוניות אם עובדים מבקרים באתרי אינטרנט עם תוכן זדוני.
לדוגמה, תוקפים יכולים לשלוח מיילים דיוגים למיילים בעבודה של העובדים, ולפתות אותם ללחוץ על קישורים ולבקר באתרי אינטרנט. אם עובד מבקר באתר זה, תוכנה זדונית עשויה להעלות אוטומטית למכשיר של העובד, מה שמאפשר חדירה לרשתות ארגוניות. בהתקפה זו, תוכנה זדונית יורדת אוטומטית ברגע שהעובד ניגש לאתר אינטרנט, המכונה הורדה של Drive-by.
לכן, ארגונים חייבים ליישם בקרות סינון אינטרנט מתאימות כדי להגביל ולשלוט בגישה לאתרים חיצוניים ולמנוע איומי אבטחה.
המטרה של ISO 27001:2022 נספח A 8.23
נספח א' בקרת 8.23 של ISO 27001: 2022 גם מסייע לארגונים בביטול סיכוני אבטחה כגון הדבקה בתוכנה זדונית מגישה לאתרים חיצוניים עם תוכן זדוני.
ISO 27001 בקלות
יתרון של 81% מהיום הראשון
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 8.23
השמיים מנהל מערכות מידע קצין ביטחון אחראית לוודא שננקטים אמצעים מתאימים לעמידה בתקן 8.28, הכולל זיהוי אתרים חיצוניים בסיכון גבוה ועיצוב ויישום בקרות גישה וסינון אינטרנט מתאימות.
הנחיות כלליות בנושא ISO 27001:2022 נספח A 8.23
ל להגן על העובדים מגישה לאתרים חיצוניים שעלולים להכיל וירוסים, חומרי דיוג או סוגים אחרים של מידע לא חוקי, ארגונים צריכים להקים וליישם את הבקרות הנדרשות.
על ידי חסימת כתובת ה-IP או הדומיין של אתרים חיצוניים מסוכנים, ניתן למנוע גישה לאתרים כאלה. זיהוי אוטומטי של תוכנות זדוניות יכול להתבצע על ידי חלק מהדפדפנים וכלים נגד תוכנות זדוניות, למשל.
בקרה 8.23 של ISO 27001 נספח A ממליץ לארגונים לקבוע לאילו סוגי אתרים אסור לעובדים לגשת.
באופן ספציפי, מומלץ לחסום את סוגי האתרים הבאים:
- אתרים עם יכולת העלאת מידע. השגת גישה צריכה להיות כפופה לאישור ולהינתן רק במקרים שבהם סיבות עסקיות תקפות.
- אתר שידוע או חשוד כמכיל חומר זדוני, כגון אתר המכיל תוכנות זדוניות.
- שרתים משמשים לפיקוד ובקרה.
- איום על אתרים זדוניים המזוהים על ידי מודיעין. למידע נוסף, ארגונים צריכים לעיין בנספח A בקרה 5.7.
- אתרים המפיצים חומרים ותכנים שאינם חוקיים.
מומלץ לארגונים להגדיר כללים לגישה בטוחה ומתאימה למשאבים מקוונים ולהשתמש בהם לפני יישום בקרת נספח א' זו. בנוסף, יש להגביל אתרים המכילים חומר לא הולם.
יש לערוך בדיקה ועדכון שוטפים.
הדרכה משלימה בנושא הכשרת צוות
Control 8.23 של ISO 27001:2022 מציין שכל העובדים צריכים לקבל הדרכה לגבי גישה בטוחה למשאבים מקוונים.
ארגונים צריכים לערוך הכשרה זו כדי להבטיח שהעובדים מכירים את הכללים שלהם וכיצד לדווח על חששות אבטחה.
יתר על כן, ההכשרה צריכה לכסות גם את תהליך החריגה לגישה לאתרים מוגבלים מסיבות עסקיות לגיטימיות.
יתר על כן, ההדרכה צריכה לכסות הודעות ייעוץ לדפדפן המזהירות את המשתמשים שאתר אינטרנט אינו מאובטח אך מאפשרות להם להמשיך. אזהרות אלו חייבות להיות מטופלות על ידי הצוות.
נספח א' 8.23 הנחיות משלימות
בין הטכניקות המשמשות לסינון אתרים הן:
- היוריסטיקה.
- חתימות.
- רשימת אתרים אסורים ומקובלים.
- תצורת דומיין.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
מהם השינויים וההבדלים מ-ISO 27001:2013?
ISO 27001:2022 נספח A 8.23 הוא בקרה חדשה לא נמצא בגרסת 2013 של התקן.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל אחד ISO 27001:2022 נספח א' לִשְׁלוֹט.
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 |
נספח א' 5.1.1 נספח א' 5.1.2 |
מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 |
נספח א' 6.1.5 נספח א' 14.1.1 |
אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 |
נספח א' 8.1.1 נספח א' 8.1.2 |
מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 |
נספח א' 8.1.3 נספח א' 8.2.3 |
שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 |
נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 |
העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 |
נספח א' 9.1.1 נספח א' 9.1.2 |
בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 |
נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 |
מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 |
נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 |
זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 |
נספח א' 15.2.1 נספח א' 15.2.2 |
ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 |
נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 |
אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 |
נספח א' 18.1.1 נספח א' 18.1.5 |
דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 |
נספח א' 18.2.2 נספח א' 18.2.3 |
עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 |
נספח א' 16.1.2 נספח א' 16.1.3 |
דיווח אירועי אבטחת מידע |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 |
נספח א' 11.1.2 נספח א' 11.1.6 |
כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 |
נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 |
אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 |
נספח א' 6.2.1 נספח א' 11.2.8 |
התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 |
נספח א' 12.6.1 נספח א' 18.2.3 |
ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 |
נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 |
רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מורשות - זכויות גישה |
| בקרות טכנולוגיות | נספח א' 8.19 |
נספח א' 12.5.1 נספח א' 12.6.2 |
התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 |
נספח א' 10.1.1 נספח א' 10.1.2 |
שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 |
נספח א' 14.1.2 נספח א' 14.1.3 |
דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | עקרונות ארכיטקטורת מערכת מאובטחת והנדסה למידה מאירועי אבטחת מידע |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 |
נספח א' 14.2.8 נספח א' 14.2.9 |
בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 |
נספח א' 12.1.4 נספח א' 14.2.6 |
הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 |
נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 |
שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
כיצד ISMS.online עזרה
ניהול ביקורת, פערים, הדרכה, הערכת סיכונים, ועוד הכל במקום אחד מבטיח תאימות ל-ISO 27001.
באמצעות ISMS.online, אתה יכול לגשת לפתרון משולב קל לשימוש 24/7 דרך כל מכשיר המחובר לאינטרנט. על ידי שימוש בפלטפורמה, העובדים יכולים לעבוד יחד בצורה חלקה ובטוחה כדי לנהל סיכוני אבטחה, לעקוב אחר תאימות והתקדמות לקראת הסמכת ISO 27001.
צור קשר עוד היום כדי הזמן הדגמה.